Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- apache_dnie [2024/03/06 12:19]
enric_mieza_sanchez [Resolució client amb Ubuntu 22.04]
+++ apache_dnie [2024/12/15 23:38] (actual)
enric_mieza_sanchez [Resolució client en Ubuntu 22.04]
@@ Línia 7: / Línia 7: @@
 {{ dnie.png?400 }}
+Referències i ampliacions:
+  * [[https://smallstep.com/hello-mtls/doc/server/nginx|Autenticació mútua amb Nginx]].
+<WRAP download>
 Descàrregues:
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1100|Software client DNIe]].
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|Certificats arrel de la l'autoritat de certificació del DNIe]].
+</WRAP>
 {{tag> ciberseguretat apache webserver servidorweb www web http https serveis #FpInfor #Daw #DawMp08 #DawMp08Uf01 #Asix #AsixMp08 #AsixMp08Uf02 #Ciber #CiberMp03 #Ceti #CetiMp03 }}
@@ Línia 42: / Línia 47: @@
 ==== Resolució client en Windows ====
-Per a Windows l'executable descarregat a la web de la DGP realitza aquestes passes més o menys automàticament si no hi ha cap error.
+Per a Windows l'executable descarregat a la web del DNIe realitza aquestes passes més o menys automàticament si no hi ha cap error.
+<WRAP download>
+[[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1100|Àrea de descàrregues a la pàgina oficial del DNIe]] per als diferents SO.
+</WRAP>
 \\
@@ Línia 49: / Línia 59: @@
 A la pàgina de descàrregues del DNIe es mostra el paquet DEB per a versions fins la Ubuntu 21.10, però no la darrera Ubuntu 22.04 LTS. El problema, [[https://askubuntu.com/questions/1409351/ubuntu-22-04-firefox-unable-to-load-module|segons aquest post]], és la versió snap (enlloc de la clàssica APT) de Firefox que Canonical fa servir des d'aquesta versió.
-Per solventar-ho, podem desinstal·lar Firefox i instal·lar la versió [[https://mzl.la/3diKQVW|Firefox ESR (Extended Support Release)]] més estable i que actualment és un estàndard d'estabilitat en distribucions com Debian.
+<WRAP tip>
+Segueix l'article [[Firefox-ESR]] per a instal·lar-ho.
-Desinstal·lem el Firefox de snap (pot trigar una mica, mira de tancar totes les pantalles de Firefox primer):
+</WRAP>
-  # snap remove firefox
-Afegim els repositoris de mozillateam i instal·lem firefox-esr:
-  # apt install software-properties-common -y
-  # add-apt-repository ppa:mozillateam/ppa
-  # apt install firefox-esr
 <WRAP important>
 Si es paralitza la instal·lació, tanca la finestra de Firefox que s'ha obert. Ens obriria un breu tutorial d'instal·lació dels certificats del DNIe, però de vegades no apareix i ja l'he copiat aquí a la següent secció.
 </WRAP>
-Afegim un enllaç simbòlic per facilitar la comanda ''firefox'':
-  # ln -s /usr/bin/firefox-esr /usr/bin/firefox
-Ara ja podem seguir i instal·lar el package DEB de la web oficial del DNIe.
-==== Navegador i certificats DNIe  ====
+=== Navegador i certificats DNIe ===
 Caldrà que tinguem la màquina client i el navegador configurats adientment per poder utilitzar el DNIe:
@@ Línia 86: / Línia 85: @@
 </code>
   - Comprova que tens instal·lat el certificat local del DNI anant als certificats del //browser// comprovant que teniu instal·lat el certificat de la "DIRECCION GENERAL DE LA POLICIA -> AC DNIE". Si no hi és, importa'l clicant "Importa" i carrega l'arxiu:<code>/usr/share/libpkcs11-dnie/AC RAIZ DNIE 2.crt</code>
-Per a Windows l'executable realitza aquestes passes més o menys automàticament si no hi ha cap error. Als altres SO caldrà assegurar-se que les 3 passes estan fetes correctament.
 <WRAP tip>
@@ Línia 94: / Línia 91: @@
   * [[https://dnie.ieti.cat|Site dnie.ieti.cat]] on hem implementat exactament la pràctica que es proposa aquí.
 </WRAP>
 \\
@@ Línia 132: / Línia 128: @@
   - Assignar-li una IP convenient (potser la que té ja us serveix).
   - Instal·lar Apache2 i PHP.
-  - Activar mod_ssl d'Apache.
+  - Activar //mod_ssl// d'Apache.
+  - Activar la //site// ''default-ssl.conf''
 <tabbox Versió Cloud>
@@ Línia 160: / Línia 157: @@
 \\
-===== Configurant Apache =====
+==== Documentació oficial (obsoleta!) per a Apache ====
-Aquí s'explica força bé la [[https://www.openlogic.com/blog/mutual-authentication-using-apache-and-web-client|doble autenticació mútua entre servidor i client]].
+Aquí s'explica la [[https://www.openlogic.com/blog/mutual-authentication-using-apache-and-web-client|doble autenticació mútua entre servidor i client]].
-<WRAP download>
+En aquesta documentació de INTECO disposem d'una guia per a configurar Apache amb els certificats necessaris per al DNIe, tot i que caldran algunes modificacions i actualitzacions:
-Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
-</WRAP>
-En aquesta documentació de INTECO disposem d'una guia per configurar Apache amb els certificats necessaris per al DNIe, tot i que caldran algunes modificacions i actualitzacions:
   - [[https://docplayer.es/3217884-Dia-2-taller-autenticacion-web-con-dnie.html|Taller INTECO PDF online]].
   - {{dia_2_taller_autenticación_web_con_dnie.pdf}} descarrega't el PDF de bytes.cat.
 <WRAP important>
-ULL: aquesta configuració és obsoleta. Veure més avall l'actualitzada. Ho deixem com a documentació de les fonts.
+**ULL: aquesta configuració és obsoleta. Veure més avall l'actualitzada**. Ho deixem com a documentació de les fonts.
+</WRAP>
 El què es proposa a la documentació del DNIe és el què segueix.
@@ Línia 195: / Línia 189: @@
 </Directory>
 </file>
-</WRAP>
@@ Línia 207: / Línia 200: @@
 Canvis que cal fer:
   - Treure la ''SSLCACertificateFile'' del nivell de ''Directory'' i posar-ho al nivell de ''VirtualHost''. Apache ara no admet diferents certificats per directori (només un per VirtualHost).
-  - Canviar el ''SSLCACertificateFile'' per ''SSLCACertificatePath'' ja que ens és més còmode per incloure tots els certificats de la carpeta, incloent els certificats de FNMT, idCat i d'altres.
   - Canviar el ''Directory'' per ''Location'' , tal i com recomana fer-ho Apache2. Per exemple, creeu una zona reservada a ''Location /zona-privada''.
   - Pujar ''SSLOptions'' i ''Options'' també a nivell de VirtualHost (tot i que això no és imprescindible).
+\\
 ==== Troubleshooting ====
@@ Línia 224: / Línia 218: @@
 Recorda que per configurar [[Apache2 en Debian Ubuntu]] hem de situar l'arxiu .conf a la carpeta ''sites-available'' i habilitar la //site// amb ''a2ensite''.
-Els certificats vàlids estaran a la carpeta ''/etc/ssl/certs''. El certificat de CA de la FNMT ja hi és per defecte, però no el del DNIe. Per tant, el copiem per tal d'habilitar-ho:
+Els certificats vàlids estan a la carpeta ''/etc/ssl/certs'', en //symbolic links//. És interessant destacar que afegir l'arxiu a la carpeta i emprar la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatepath|SSLCACertificatePath]]'' no funcionarà, a la documentació s'explica que cal seguir un //symbolic link// amb un format de hash concret.
-  $ wget https://www.dnielectronico.es/ZIP/ACRAIZ-DNIE2.zip
+<WRAP download>
-  $ unzip ACRAIZ-DNIE2.zip
+Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
-  $ sudo cp "AC RAIZ DNIE 2.crt" /etc/ssl/certs
+</WRAP>
-Finalment, la configuració d'Apache ens quedarà com segueix.
+La configuració que emprarem serà mitjançant l'arxiu ''/etc/ssl/certs/ca-certificates.crt'', on estan tots els certificats concatenats seguidament, i amb la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatefile|SSLCACertificateFile]]''. El certificat de CA de la FNMT ja hi és per defecte, però no el del DNIe. Per tant, el descarreguem, descomprimim i annexem a ''ca-certificates.crt'' per tal d'habilitar-ho:
+  # cd /etc/ssl/certs
+  # wget https://www.dnielectronico.es/ZIP/ACRAIZ-DNIE2.zip
+  # unzip ACRAIZ-DNIE2.zip
+  # cat "AC RAIZ DNIE 2.crt" >> /etc/ssl/certs/ca-certificates.crt
+Fixeu-vos que l'arxiu de certificats el configurem amb la directiva:
+  SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
+<WRAP tip>
+Finalment, la configuració d'Apache per a validació del DNIe ens quedarà com segueix.
 <file apache dnie.conf>
@@ Línia 252: / Línia 257: @@
         SSLProtocol -all +TLSv1.2
-        # Carpeta amb tots els certificats (cal copiar-hi el "AC RAIZ DNIE 2.crt")
+        # Arxiu amb tots els certificats (cal afegir-hi el "AC RAIZ DNIE 2.crt")
-        SSLCACertificatePath /etc/ssl/certs/
+        SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
         # Exportar contenido de certificados (para poder usarlos con PHP)
@@ Línia 279: / Línia 284: @@
 </IfModule>
 </file>
+</WRAP>
 \\
-===== Accedint a les dades del certificat amb PHP ====
+==== Accedint a les dades del certificat amb PHP ====
 Abans de fer el codi, recordeu que cal instal·lar PHP al servidor:
   $ sudo apt install libapache2-mod-php
@@ Línia 319: / Línia 325: @@
 \\
-===== Comprovació de revocació OCSP =====
+==== Comprovació de revocació OCSP ====
 Amb la comprovació OCSP el què fem és consultar la base de dades de la pròpia CA (autoritat certificadora, la seu del DNIe) per comprovar que el certificat que ens arriba no hagi estat revocat. És una important passa de seguretat.
@@ Línia 334: / Línia 340: @@
-===== Altres certificats =====
+==== Altres certificats ====
 Perquè ens funcioni amb diversos tipus de certificats com idCAT, hisenda, etc. podem fer servir l'arxiu amb tots els certificats agrupats que porta Apache, al qual afegirem el del DNIe, que per defecte no ve inclòs.

bytes.cat

Eines de l'usuari

Eines del lloc

Diferències

Eines de la pàgina